專利名稱:一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及中間件技術(shù)領(lǐng)域���,尤其涉及一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng)。
背景技術(shù):
保護(hù)信息安全的一項(xiàng)重要技術(shù)就是訪問控制技術(shù)�����,所謂訪問控制,是指按主體身份及其所歸屬的某預(yù)定義組來限制主體對(duì)某些客體的訪問���。實(shí)施訪問控制主要有三方面目的一、防止非法主體訪問受保護(hù)客體��。二�����、允許合法主體訪問受保護(hù)的客體�����。三����、防止合法主體對(duì)受保護(hù)的客體進(jìn)行非授權(quán)的訪問。為了加強(qiáng)信息安全保護(hù)工作����,我國(guó)出臺(tái)了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》和《信息系統(tǒng)安全等級(jí)保護(hù)要求》,建立起信息安全等級(jí)保護(hù)制度�����,這對(duì)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的建設(shè)提出了新的技術(shù)要求。而基于安全標(biāo)記的訪問控制技術(shù)就是強(qiáng)制訪問控制(Mandatory Access Control, MAC)技術(shù)����,所謂MAC,是指主體與客體都被標(biāo)記了固定的安全屬性��,如安全級(jí)�����、訪問權(quán)限等����,在每次訪問發(fā)生時(shí),系統(tǒng)檢測(cè)安全屬性以便確定主體是否有權(quán)訪問該客體�����。MAC 技術(shù)能夠滿足上述建設(shè)信息安全等級(jí)保護(hù)制度的需要�。目前,在中間件技術(shù)中訪問控制是由應(yīng)用程序自行進(jìn)行操作的�,每個(gè)應(yīng)用程序都根據(jù)自身的需要進(jìn)行應(yīng)用和授權(quán)的開發(fā)。但是���,根據(jù)目前這種由應(yīng)用程序自行進(jìn)行操作的訪問控制方法�����,每個(gè)應(yīng)用程序都需要進(jìn)行應(yīng)用和授權(quán)的開發(fā)��,無法在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理�����,同時(shí)也無法適應(yīng)建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要�����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提供了一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng),用于將 MAC技術(shù)應(yīng)用于中間件層���,以便在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理���,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。一種基于安全標(biāo)記的訪問控制方法��,包括中間件套件獲取web訪問請(qǐng)求消息;所述中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱����,所述主體為訪問方,所述客體為被訪問方�����;所述中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記��;所述中間件套件根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制����。一種基于安全標(biāo)記的訪問控制系統(tǒng),包括中間件套件�����,所述中間件套件包括第一獲取模塊�����,用于獲取web訪問請(qǐng)求消息����;
第二獲取模塊����,用于從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱�����, 所述主體為訪問方���,所述客體為被訪問方��;第三獲取模塊���,用于查詢所述客體的名稱并獲取所述客體的安全標(biāo)記��;訪問控制模塊��,用于根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制���。從以上技術(shù)方案可以看出�����,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)通過獲取主體的安全標(biāo)記和客體的安全標(biāo)記�,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體和客體進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理��, 而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的���,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要�。
圖1為本發(fā)明第一實(shí)施例基于安全標(biāo)記的訪問控制方法基本流程圖���;圖2為本發(fā)明第二實(shí)施例基于安全標(biāo)記的訪問控制方法詳細(xì)流程圖����;圖3為本發(fā)明第三實(shí)施例基于安全標(biāo)記的訪問控制方法詳細(xì)流程圖�;圖4為本發(fā)明第四實(shí)施例基于安全標(biāo)記的訪問控制方法詳細(xì)流程圖;圖5為本發(fā)明第五實(shí)施例基于安全標(biāo)記的訪問控制系統(tǒng)基本結(jié)構(gòu)圖��;圖6為本發(fā)明第六實(shí)施例基于安全標(biāo)記的訪問控制系統(tǒng)詳細(xì)結(jié)構(gòu)圖���。
具體實(shí)施例方式本發(fā)明實(shí)施例提供了一種基于安全標(biāo)記的訪問控制方法�����,用于將MAC技術(shù)應(yīng)用于中間件層����,以便在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要�。本發(fā)明實(shí)施例還提供相關(guān)的系統(tǒng),以下分別進(jìn)行詳細(xì)的說明��。本發(fā)明第一實(shí)施例的基于安全標(biāo)記的訪問控制方法基本流程圖請(qǐng)參見圖1���,主要包括步驟101��、中間件套件獲取web訪問請(qǐng)求消息�����。其中�,主體對(duì)客體進(jìn)行訪問之前��,向中間件發(fā)送web訪問請(qǐng)求消息�,中間件套件可以獲取該web訪問請(qǐng)求消息��,該web訪問請(qǐng)求消息中包含主體安全標(biāo)記和客體的名稱等信肩���、ο102���、中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱�����。其中��,web訪問請(qǐng)求消息由主體向中間件套件發(fā)送�����,中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱��。103�����、中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記�。其中��,中間件套件根據(jù)從web訪問請(qǐng)求消息中所獲取的客體的名稱查詢客體�,并獲取該客體的安全標(biāo)記。104�����、中間件套件根據(jù)主體的安全標(biāo)記和客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制�����。其中,中間件套件將以主體的安全標(biāo)記和客體的安全標(biāo)記作為訪問控制依據(jù)��,對(duì)該主體的web訪問進(jìn)行訪問控制��。訪問控制結(jié)果可以是授權(quán)主體對(duì)客體進(jìn)行訪問���,也可以是拒絕主體對(duì)客體進(jìn)行訪問�。在本實(shí)施例中����,通過獲取主體的安全標(biāo)記和客體的安全標(biāo)記,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體和客體進(jìn)行訪問控制��,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理�,而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要���。本發(fā)明第二實(shí)施例將對(duì)第一實(shí)施例中的基于安全標(biāo)記的訪問控制方法進(jìn)行詳細(xì)描述,其中��,安全標(biāo)記包括安全等級(jí)和安全范疇���,相關(guān)的中間件套件根據(jù)主體的安全標(biāo)記和客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制的步驟將在本實(shí)施例中詳細(xì)描述����。本實(shí)施例流程圖請(qǐng)參見圖2,主要包括步驟201��、中間件套件獲取web訪問請(qǐng)求消息����。其中,主體對(duì)客體進(jìn)行訪問之前����,向中間件發(fā)送web訪問請(qǐng)求消息,中間件套件可以獲取該web訪問請(qǐng)求消息����,該web訪問請(qǐng)求消息中包含主體安全標(biāo)記和客體的名稱等信肩、ο202����、中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。其中���,web訪問請(qǐng)求消息由主體向中間件套件發(fā)送���,中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱�����。所述主體的安全標(biāo)記包括所述主體的安全等級(jí)和所述主體的安全范疇����,并且主體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的���。203��、中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記����。其中����,中間件套件根據(jù)從web訪問請(qǐng)求消息中所獲取的客體的名稱查詢客體,并獲取該客體的安全標(biāo)記�。所述客體的安全標(biāo)記包括所述客體的安全等級(jí)和所述客體的安全范疇,并且客體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的���。204��、中間件套件判斷主體的安全等級(jí)是否高于客體的安全等級(jí)�����,并判斷客體的安全范疇是否為主體的安全范疇的子集���。其中,若所述主體的安全等級(jí)高于所述客體的安全等級(jí)���,且所述客體的安全范疇為所述主體的安全范疇的子集��,則可以確定所述主體具有對(duì)所述客體的訪問權(quán)限�,則所述中間件套件將授權(quán)所述主體對(duì)所述客體進(jìn)行訪問�,否則可以確定所述主體不具有對(duì)所述客體的訪問權(quán)限,則中間件套件將拒絕所述主體對(duì)所述客體進(jìn)行訪問����。在本實(shí)施例中,通過獲取主體的安全標(biāo)記和客體的安全標(biāo)記����,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體對(duì)客體是否具有訪問權(quán)限進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的���,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要�����。本發(fā)明第三實(shí)施例將對(duì)第二實(shí)施例中的基于安全標(biāo)記的訪問控制方法進(jìn)行詳細(xì)描述���,其中,將對(duì)如何為主體和客體賦予安全標(biāo)記進(jìn)行詳細(xì)描述�。本實(shí)施例流程圖請(qǐng)參見圖 3,主要包括步驟301���、應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記�。其中����,應(yīng)用系統(tǒng)根據(jù)現(xiàn)有的信息安全標(biāo)準(zhǔn)為主體賦予安全等級(jí)和安全范疇。所述的現(xiàn)有的信息安全標(biāo)準(zhǔn)是根據(jù)國(guó)家的法律法規(guī)確定的��,故主體的安全等級(jí)和安全范疇是可以進(jìn)行適應(yīng)性調(diào)整的��。302���、中間件套件為客體賦予安全標(biāo)記��。
其中��,客體作為web資源�,由中間件套件統(tǒng)一進(jìn)行安全標(biāo)記的賦予����,中間件套件根據(jù)現(xiàn)有的信息安全標(biāo)準(zhǔn)為客體賦予安全等級(jí)和安全范疇。所述的現(xiàn)有的信息安全標(biāo)準(zhǔn)是根據(jù)國(guó)家的法律法規(guī)確定的�����,故客體的安全等級(jí)和安全范疇是可以進(jìn)行適應(yīng)性調(diào)整的����。303、中間件套件獲取web訪問請(qǐng)求消息��。其中���,主體對(duì)客體進(jìn)行訪問之前���,向中間件發(fā)送web訪問請(qǐng)求消息���,中間件套件可以獲取該web訪問請(qǐng)求消息,該web訪問請(qǐng)求消息中包含主體安全標(biāo)記和客體的名稱等信肩�、ο304、中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱��。其中�����,web訪問請(qǐng)求消息由主體向中間件套件發(fā)送���,中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱�����。所述主體的安全標(biāo)記包括所述主體的安全等級(jí)和所述主體的安全范疇��,并且主體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的�����。305����、中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記。其中���,中間件套件根據(jù)從web訪問請(qǐng)求消息中所獲取的客體的名稱查詢客體��,并獲取該客體的安全標(biāo)記��。所述客體的安全標(biāo)記包括所述客體的安全等級(jí)和所述客體的安全范疇�����,并且客體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。306���、中間件套件判斷主體的安全等級(jí)是否高于客體的安全等級(jí)��,并判斷客體的安全范疇是否為主體的安全范疇的子集�。其中����,若所述主體的安全等級(jí)高于所述客體的安全等級(jí),且所述客體的安全范疇為所述主體的安全范疇的子集�,則可以確定所述主體具有對(duì)所述客體的訪問權(quán)限,則所述中間件套件將授權(quán)所述主體對(duì)所述客體進(jìn)行訪問��,否則可以確定所述主體不具有對(duì)所述客體的訪問權(quán)限,則中間件套件將拒絕所述主體對(duì)所述客體進(jìn)行訪問�。在本實(shí)施例中,通過應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記��,中間件套件為客體賦予安全標(biāo)記�����,當(dāng)主體要對(duì)客體進(jìn)行訪問時(shí)����,主體向中間件發(fā)送web訪問請(qǐng)求消息,中間件套件獲取主體的安全標(biāo)記和客體的安全標(biāo)記����,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體對(duì)客體是否具有訪問權(quán)限進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理�����, 而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的����,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。本發(fā)明第四實(shí)施例將對(duì)第三實(shí)施例中的基于安全標(biāo)記的訪問控制方法進(jìn)行詳細(xì)描述�,其中���,將對(duì)應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記的步驟進(jìn)行詳細(xì)描述。本實(shí)施例流程圖請(qǐng)參見圖4���,主要包括步驟401����、應(yīng)用系統(tǒng)為具有相同訪問權(quán)限的主體賦予同一個(gè)角色�����。其中�,很多主體對(duì)客體有相同的訪問權(quán)限����,所以將需要被賦予相同的安全等級(jí)和安全范疇,這些主體如果逐一進(jìn)行安全標(biāo)記的賦予���,則會(huì)產(chǎn)生較大的工作量���,若這些主體需要全部進(jìn)行修改安全標(biāo)記,則還是會(huì)產(chǎn)生較大的工作量����。為了簡(jiǎn)化主體安全標(biāo)記的賦予過程�,應(yīng)用系統(tǒng)為具有相同訪問權(quán)限的主體賦予同一個(gè)角色����。402、應(yīng)用系統(tǒng)為不同的角色賦予對(duì)應(yīng)的安全標(biāo)記�。其中,應(yīng)用系統(tǒng)根據(jù)現(xiàn)有的信息安全標(biāo)準(zhǔn)為不同的角色賦予不同的安全等級(jí)和的安全范疇���。所述的現(xiàn)有的信息安全標(biāo)準(zhǔn)是根據(jù)國(guó)家的法律法規(guī)確定的����,故角色的安全等級(jí)和安全范疇是可以進(jìn)行適應(yīng)性調(diào)整的���。
403�����、中間件套件為客體賦予安全標(biāo)記����。其中,客體作為web資源�,由中間件套件統(tǒng)一進(jìn)行安全標(biāo)記的賦予,中間件套件根據(jù)現(xiàn)有的信息安全標(biāo)準(zhǔn)為客體賦予安全等級(jí)和安全范疇���。所述的現(xiàn)有的信息安全標(biāo)準(zhǔn)是根據(jù)國(guó)家的法律法規(guī)確定的����,故客體的安全等級(jí)和安全范疇是可以進(jìn)行適應(yīng)性調(diào)整的�����。404����、中間件套件獲取web訪問請(qǐng)求消息。其中���,主體對(duì)客體進(jìn)行訪問之前,向中間件發(fā)送web訪問請(qǐng)求消息�����,中間件套件可以獲取該web訪問請(qǐng)求消息����,該web訪問請(qǐng)求消息中包含主體安全標(biāo)記和客體的名稱等信肩���、ο 405、中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱����。其中,web訪問請(qǐng)求消息由主體向中間件套件發(fā)送����,中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱。所述主體的安全標(biāo)記包括所述主體的安全等級(jí)和所述主體的安全范疇�,并且主體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。406���、中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記��。其中����,中間件套件根據(jù)從web訪問請(qǐng)求消息中所獲取的客體的名稱查詢客體�����,并獲取該客體的安全標(biāo)記。所述客體的安全標(biāo)記包括所述客體的安全等級(jí)和所述客體的安全范疇�,并且客體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的。407���、中間件套件判斷主體的安全等級(jí)是否高于客體的安全等級(jí)��,并判斷客體的安全范疇是否為主體的安全范疇的子集�����。其中��,若所述主體的安全等級(jí)高于所述客體的安全等級(jí)�,且所述客體的安全范疇為所述主體的安全范疇的子集���,則可以確定所述主體具有對(duì)所述客體的訪問權(quán)限����,則所述中間件套件將授權(quán)所述主體對(duì)所述客體進(jìn)行訪問����,否則可以確定所述主體不具有對(duì)所述客體的訪問權(quán)限�����,則中間件套件將拒絕所述主體對(duì)所述客體進(jìn)行訪問。在本實(shí)施例中�����,通過應(yīng)用系統(tǒng)為主體賦予角色�����,再對(duì)角色賦予安全標(biāo)記�,簡(jiǎn)化了對(duì)主體賦予安全標(biāo)記的過程,中間件套件為客體賦予安全標(biāo)記���。當(dāng)主體要對(duì)客體進(jìn)行訪問時(shí)��,主體向中間件發(fā)送web訪問請(qǐng)求消息���,中間件套件獲取主體的安全標(biāo)記和客體的安全標(biāo)記,使得中間件套件能夠根據(jù)所述安全標(biāo)記就主體對(duì)客體是否具有訪問權(quán)限進(jìn)行訪問控制�����,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理�����,而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要����。本發(fā)明第五實(shí)施例的提供基于安全標(biāo)記的訪問控制系統(tǒng),其基本結(jié)構(gòu)圖請(qǐng)參見圖 5�,主要包括中間件套件501,用于在中間件層對(duì)主體訪問客體進(jìn)行訪問控制��。中間件套件501 進(jìn)一步包括第一獲取模塊5011���,用于獲取web訪問請(qǐng)求消息�����。第二獲取模塊5012�,用于從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱����,并將所獲取的主體的安全標(biāo)記發(fā)送至訪問控制模塊5014,將所獲取的客體的名稱發(fā)送至第三獲取模塊5013��。第三獲取模塊5013�����,用于接收第二獲取模塊5012發(fā)送的客體的名稱所述客體的名稱����,查詢所述客體的名稱,并獲取客體的安全標(biāo)記�,再將所述客體的安全標(biāo)記發(fā)送至訪問控制模塊5014。
訪問控制模塊5014�,用于接收第二獲取模塊5012發(fā)送的主體的安全標(biāo)記,和接收第三獲取模塊5013發(fā)送的客體的安全標(biāo)記�����,并根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制�����。在本實(shí)施例中�,通過第二獲取模塊5012獲取主體的安全標(biāo)記,通過第三獲取模塊 5013獲取客體的安全標(biāo)記�,訪問控制模塊5014根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)所述web訪問進(jìn)行訪問控制,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理�,而且本系統(tǒng)是基于安全標(biāo)記運(yùn)行的,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要���。本發(fā)明第六實(shí)施例將對(duì)第五實(shí)施例的基于安全標(biāo)記的訪問控制系統(tǒng)進(jìn)行詳細(xì)描述����,其中,訪問控制模塊6013包括判斷單元60131和決策單元60132��。中間件套件還進(jìn)一步包括第一標(biāo)記賦予模塊6015�,另外,本系統(tǒng)除中間件套件外還包括標(biāo)記賦予裝置602�,標(biāo)記賦予裝置602進(jìn)一步包括角色賦予模塊6021和第二標(biāo)記賦予模塊6022,其詳細(xì)結(jié)構(gòu)圖請(qǐng)參見圖6�����,主要包括中間件套件601���,用于在中間件層對(duì)主體訪問客體進(jìn)行訪問控制�����。中間件套件601 進(jìn)一步包括第一獲取模塊6011���,用于獲取web訪問請(qǐng)求消息。第二獲取模塊6012��,用于從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱,并將所獲取的主體的安全標(biāo)記發(fā)送至訪問控制模塊6014�����,將所獲取的客體的名稱發(fā)送至第三獲取模塊6013�。第三獲取模塊6013��,用于接收第二獲取模塊6012發(fā)送的客體的名稱所述客體的名稱�����,查詢所述客體的名稱���,并獲取客體的安全標(biāo)記�����,再將所述客體的安全標(biāo)記發(fā)送至訪問控制模塊6014�����。訪問控制模塊6014����,用于接收第二獲取模塊6012發(fā)送的主體的安全標(biāo)記,和接收第三獲取模塊6013發(fā)送的客體的安全標(biāo)記���,并根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制���。訪問控制模塊6014進(jìn)一步包括判斷單元60141和決策單元60142。判斷單元60141用于接收接收第二獲取模塊6012發(fā)送的主體的安全標(biāo)記��,和接收第三獲取模塊6013發(fā)送的客體的安全標(biāo)記�����,并判斷所述主體的安全標(biāo)記和所述客體安全標(biāo)記的關(guān)系��。決策單元60142����,用于根據(jù)判斷單元60141的判斷結(jié)果進(jìn)行訪問控制決策。訪問控制決策包括授權(quán)主體對(duì)客體進(jìn)行訪問和拒絕主體對(duì)客體進(jìn)行訪問兩種���。第一標(biāo)記賦予模塊6015�,用于為客體賦予安全標(biāo)記�。標(biāo)記賦予裝置602,用于為主體賦予安全標(biāo)記。標(biāo)記賦予裝置602進(jìn)一步包括角色賦予模塊6021���,用于為具有相同訪問權(quán)限的主體賦予同一個(gè)角色���。第二標(biāo)記賦予模塊6022,用于為不同的角色賦予對(duì)應(yīng)的安全標(biāo)記���。在本實(shí)施例中���,通過第一標(biāo)記賦予模塊6015為客體賦予安全標(biāo)記��,通過第二標(biāo)記賦予模塊6022具有不同角色的主體賦予不同的安全標(biāo)記�����,第二獲取模塊5012獲取主體的安全標(biāo)記�,通過第三獲取模塊5013獲取客體的安全標(biāo)記,訪問控制模塊5014根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)所述web訪問進(jìn)行訪問控制��,因此能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理���,而且本系統(tǒng)是基于安全標(biāo)記運(yùn)行的���,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要��。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成�,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中��,上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器����,磁盤或光盤等。以上對(duì)本發(fā)明所提供的一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng)進(jìn)行了詳細(xì)介紹��,對(duì)于本領(lǐng)域的一般技術(shù)人員�����,依據(jù)本發(fā)明實(shí)施例的思想�,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處,綜上所述���,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制����。
權(quán)利要求
1.一種基于安全標(biāo)記的訪問控制方法���,其特征在于�,包括 中間件套件獲取web訪問請(qǐng)求消息;所述中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱��,所述主體為訪問方�����,所述客體為被訪問方�����;所述中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記��; 所述中間件套件根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述主體的安全標(biāo)記包括所述主體的安全等級(jí)和所述主體的安全范疇; 所述客體的安全標(biāo)記包括所述客體的安全等級(jí)和所述客體的安全范疇��; 所述主體的安全等級(jí)和所述客體的安全等級(jí)是根據(jù)國(guó)家信息安全標(biāo)準(zhǔn)進(jìn)行定義的�����。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于�����,所述中間件套件根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)所述web訪問進(jìn)行訪問控制包括步驟所述中間件套件判斷所述主體的安全等級(jí)是否高于所述客體的安全等級(jí)����,并判斷所述客體的安全范疇是否為所述主體的安全范疇的子集;若所述主體的安全等級(jí)高于所述客體的安全等級(jí)�����,且所述客體的安全范疇為所述主體的安全范疇的子集���,則所述中間件套件授權(quán)所述主體對(duì)所述客體進(jìn)行訪問�,否則拒絕所述主體對(duì)所述客體進(jìn)行訪問。
4.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,所述中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱之前進(jìn)一步包括步驟應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記�����; 所述中間件套件為客體賦予安全標(biāo)記��。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于��,所述應(yīng)用系統(tǒng)為主體賦予安全標(biāo)記包括步驟應(yīng)用系統(tǒng)為具有相同訪問權(quán)限的主體賦予同一個(gè)角色�����; 所述應(yīng)用系統(tǒng)為不同的角色賦予對(duì)應(yīng)的安全標(biāo)記。
6.一種基于安全標(biāo)記的訪問控制系統(tǒng)����,其特征在于,包括 中間件套件�����,所述中間件套件包括第一獲取模塊,用于獲取web訪問請(qǐng)求消息�;第二獲取模塊,用于從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱��,所述主體為訪問方����,所述客體為被訪問方;第三獲取模塊����,用于查詢所述客體的名稱并獲取所述客體的安全標(biāo)記; 訪問控制模塊����,用于根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)�����,其特征在于�����,所述訪問控制模塊包括判斷單元,用于判斷所述主體的安全等級(jí)是否高于所述客體的安全等級(jí)����,并判斷所述客體的安全范疇是否為所述主體的安全范疇的子集;決策單元�,用于根據(jù)所述判斷單元的判斷結(jié)果進(jìn)行訪問控制決策;若所述主體的安全等級(jí)高于所述客體的安全等級(jí)��,且所述客體的安全范疇為所述主體的安全范疇的子集�����,則所述中間件套件授權(quán)所述主體對(duì)所述客體進(jìn)行訪問���,否則拒絕所述主體對(duì)所述客體進(jìn)行訪問����。
8.根據(jù)權(quán)利要求6或7所述的系統(tǒng)���,其特征在于��,所述中間件套件進(jìn)一步包括 第一標(biāo)記賦予模塊�����,用于為主體賦予安全標(biāo)記�����。
9.根據(jù)權(quán)利要求6或7所述的系統(tǒng)����,其特征在于�,所述系統(tǒng)進(jìn)一步包括 標(biāo)記賦予裝置,用于為主體賦予安全標(biāo)記�。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于�,所述標(biāo)記賦予模塊包括 角色賦予模塊,用于為具有相同訪問權(quán)限的主體賦予同一個(gè)角色�; 第二標(biāo)記賦予模塊,用于為不同的角色賦予對(duì)應(yīng)的安全標(biāo)記���。
全文摘要
本發(fā)明實(shí)施例公開了一種基于安全標(biāo)記的訪問控制方法和相關(guān)系統(tǒng)���,用于在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理。本發(fā)明方法包括中間件套件獲取web訪問請(qǐng)求消息�����;所述中間件套件從web訪問請(qǐng)求消息中獲取主體的安全標(biāo)記和客體的名稱,所述主體為訪問方�����,所述客體為被訪問方���;所述中間件套件查詢所述客體的名稱并獲取所述客體的安全標(biāo)記��;所述中間件套件根據(jù)所述主體的安全標(biāo)記和所述客體的安全標(biāo)記對(duì)web訪問進(jìn)行訪問控制����。通過實(shí)施本發(fā)明技術(shù)方案����,能夠在中間件層對(duì)主體的訪問控制進(jìn)行統(tǒng)一管理,而且本方法是基于安全標(biāo)記實(shí)現(xiàn)的����,同時(shí)適應(yīng)了建設(shè)安全標(biāo)記保護(hù)級(jí)信息系統(tǒng)的發(fā)展需要。
文檔編號(hào)H04L29/12GK102413198SQ201110300599
公開日2012年4月11日 申請(qǐng)日期2011年9月30日 優(yōu)先權(quán)日2011年9月30日
發(fā)明者劉春 , 劉歡迎, 趙欣, 車帥 申請(qǐng)人:山東中創(chuàng)軟件商用中間件股份有限公司, 山東中創(chuàng)軟件工程股份有限公司